Прикрепление ключа публикации темы для HTTP

Question

Прикрепление ключа публикации темы для HTTP

Я внедряю функцию SPKI Pinning в свои мобильные приложения, и мне интересно, изменится ли Subject Publish Key, когда я обновлю его с другим CA? Я все еще использую тот же CSR для генерации сертификата. Люди говорят, что открытый ключ будет таким же, если мы будем использовать один и тот же файл запроса на подпись сертификата (CRS), но я не уверен, что CA также является фактором.

2

ssl-certificate public-key-pinning

Источник

user1351595 13 май '19 в 18:09

1 ответ

Решение

Другие вопросы по тегам ssl-certificate public-key-pinning

user3798215 13 май '19 в 19:23 2019-05-13 19:23 · Accepted Answer · 2019-05-13 19:23

Короткий ответ: нет, это не должно измениться, если вы все сделали правильно.

Рекомендуется, чтобы при указании HTTP-заголовка SPKI вы предоставили как минимум два отпечатка закрытых ключей Subject Public Key Information (SPKI) закрытого ключа (один для производства и другой для резервного копирования). Теперь, как сообщается здесь, общепринятой практикой является указание отпечатка SPKI хорошо известного ЦС в случае потери личного ключа, но это делает HPKP недействительным, потому что если ЦС скомпрометирован, то вы в основном говорите "доверяйте выданным ЦС сертификатам" ". Вот почему рекомендуется предоставить SPKI отпечаток ваших собственных открытых ключей: один для общего использования, а другой в случае потери личного ключа. Таким образом, при условии, что вы указываете в заголовке HTTP SPKI своего собственного открытого ключа, всякий раз, когда вы генерируете новый сертификат с другим CA (либо с тем же CSR, либо с новым), ваш открытый ключ будет таким же, а SPKI все равно будет действительный.